| +11 голос |
|
У 2011 році Американський Інститут Сертифікованих Публічних Бухгалтерів (American Institute of Certified Public Accountants, AICPA) затвердив Service Organization Control report framework (фреймворк звітів щодо Контролів Сервісних Організацій, SOC). Згідно зі фреймворком, Certified Public Accountants (CPA) можуть випускати звіти щодо якості певних внутрішніх контролів Сервісних Організацій у вигляді звітів трьох типів – SOC 1, SOC 2 та SOC 3. – SOC 1, SOC 2 та SOC 3.
Про що ці звіти
SOC 1 – звіт, призначений для оцінки внутрішніх контролів, що стосуються процесу формування фінансової звітності компаній. Обмежений для розповсюдження.
SOC 2 призначений для оцінки внутрішніх контролів компаній стосовно Безпеки, Доступності, Цілісності, Конфіденційності, Приватності (Security, Availability, Processing Integrity, Confidentiality, Privacy). Також обмежений для розповсюдження.
SOC 3 є аналогом SOC 2, але призначений для широкого загалу і розповсюдження для будь-кого. В 2017 році принципи, закладені в Service Organization Control report framework, були гармонізовані з фреймворком внутрішніх контролів The Committee of Sponsoring Organizations of the Treadway Commission (COSO) і наразі отримання SOC-звіту рівноцінне отриманню звіту незалежного аудитора стосовно системи внутрішніх контролів компаніях у відповідності до COSO Internal Control Integrated Framework
Кому можуть бути цікаві SOC-звіти
Компаніям, які надають сервісні послуги іншим організаціям і хочуть надати своїм наявним чи потенційним клієнтам підтвердження від незалежної сторони щодо високої якості своїх внутрішніх процесів.
Клієнтам аутсорсингових ІТ-компаній корисно буде знати, наскільки у їхнього партнера все гаразд із Security, Confidentiality та Privacy.
Клієнтам інтернет-сервісів, окрім ситуації в компанії стосовно Confidentiality та Privacy, важливо розуміти, що рівень доступності сервісів (Availability), на який вони розраховують, сервісна компанія загалом спроможна надавати.
Клієнтам компаній, які надають послуги в сфері охорони здоров’я важливо розуміти, що їх персональна інформація добре захищена (Privacy).
Виробникам продовольчої, фармацевтичної чи високотехнологічної продукції важливо продемонструвати клієнтам та партнерам, що компанія забезпечує високу якість виробництва на кожному етапі (Processing Integrity).
Для банків та фінансових компаній буде додатковою перевагою підтвердження стороннім аудитором якості обробки персональних даних клієнтів та захисту даних загалом (Security, Confidentiality та Privacy).
Чим SOC-звіти відрізняються від сертифікації компанії за міжнародними стандартами?
SOC-звіти, як і будь-які інші звіти аудиторів, відображають ситуацію на момент випуску звіту та за певний період, за який проводився аудит, зазвичай 1 рік, на відміну від програм з сертифікації, які передбачають окрім отримання самого сертифікату, регулярне підтвердження, що організація відповідає умовам сертифікації (ресертифікація).
Альтернативні сертифікації
Security/ Confidentiality
Компанії можуть підтвердити якість своєї системи управління інформаційною безпекою завдяки сертифікації за стандартом ISO/IEC 27001. Сертифікація за ISO 27001 підтверджує, що компанія має всю необхідну документацію, яка покриває всі аспекти управління інформаційною безпекою в компанії, має вибудовані процеси, ефективна робота яких може бути оцінена за період між сертифікацією/ресертифікацією. На відміну від сертифікації за ISO 27001, звіт SOC щодо Security оцінює вичерпний перелік визначених контролів, які допомагають отримати обгрунтовану впевненність, що ІТ-системи сервісної організації захищені від неавторизованого доступу, використання чи модифікації інформації в ІТ-системах компанії.
Availability/Processing integrity
SOC-звіт щодо Availability підтверджує, що Сервісна Організація спроможна надавати послуги згідно заявленого рівня. Альтернативою для організацій є сертифікація на відповідність вимогам стандартів ISO/IEC 22301 Societal Security – Business Continuity Management Systems для підтвердження, що в компанії існує ефективна Система Управління Неперервністю Діяльності. Сертифікація за ISO/IEC 9001 Quality Management підтверджує, що процеси в компанії побудовані та працюють у відповідності до загальноприйнятих стандартів якості. Сертифікація за ISO/IEC 20000 IT Service Management підтверджує, що ІТ процеси в компанії побудовані і функціонують згідно вимог міжнародних стандартів.
Privacy
Оцінка відповідності компанії вимогам європейського General Data Protection Regulation 2016/679 (GDPR) дозволяє впевнитись, що компанія відповідає вимогам Європейського Союзу щодо захисту персональних даних. Звіт SOC щодо Privacy фокусується на контролях для безпечного збору, обробки використання, зберігання та видалення персональної інформації. В GDPR окрім вимог щодо обробки персональних даних також містяться вимоги щодо обов’язкового повідомлення Data Protection Authority про витоки персональних даних чи інші пов’язані інциденти щодо персональних даних та правила взаємодії організацій, які обробляють персональні дані жителів Євросоюзу та Data Protection Authority, права та правила взаємодії громадян, організацій та державних установ щодо персональних даних.
Більш простою і дешевшою альтернативою для компаній по підтвердженню якості внутрішніх процесів є отримання Звітів від аудиторських чи консалтингових компаній на відповідність процесів компанії загальноприйнятим практикам, фреймворкам чи стандартам. У цьому випадку компанія отримує не сертифікат відповідності, а Звіт незалежної сторони щодо поточного стану в компанії конкретного процесу чи функції. Наприклад, будь-яка компанія може отримати Звіт щодо якості своїх ІТ-процесів відносно ITIL, COBIT, стандартів ISO 27001 чи по методології ISO 33001.
Як це відбувається?
Процес отримання звіту SOC нічим не відрізняється від звичайної роботи аудиторів чи консультантів при проведенні оцінки будь-якого з процесів компанії. Аудитор проводить зустрічі з персоналом компанії, збирає докази дизайну та функціонування певних контролів, які будуть покриватись SOC-звітом, формує Звіт і надає його замовнику. Різниця в тому, що перелік контролів, які потрібно проаналізувати та оцінити чітко визначений Service Organization Control report framework і із Замовником погоджується тільки тип звіту (SOC 1, SOC 2 чи SOC 3) та перелік доменів, які будуть покриті даним звітом (Security, Availability, Processing integrity, Confidentiality, Privacy).
В результаті роботи аудитора Замовник отримує SOC-звіт у погодженому форматі (друкований, електронний).
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +11 голос |
|
